Los 10 riesgos más críticos en Aplicaciones Web

Description

Mind Map on Los 10 riesgos más críticos en Aplicaciones Web, created by Adan Medina on 17/09/2019.
Adan Medina
Mind Map by Adan Medina, updated more than 1 year ago
Adan Medina
Created by Adan Medina over 5 years ago
9
0

Resource summary

Los 10 riesgos más críticos en Aplicaciones Web
  1. Pérdida de Autenticación
    1. Las funciones de la aplicación relacionadas a autenticación y gestión de sesiones son implementadas incorrectamente
      1. Los atacantes tienen acceso a millones de combinaciones de pares de usuario y contraseña conocidas (debido a fugas de información), además de cuentas administrativas por defecto.

        Annotations:

        •  Pueden realizar ataques mediante herramientas de fuerza bruta o diccionarios para romper los hashes de las contraseñas.
        1. Los atacantes pueden detectar la autenticación defectuosa utilizando medios manuales y explotarlos utilizando herramientas automatizadas con listas de contraseñas y ataques de diccionario.

          Annotations:

          • Los errores de pérdida de autenticación son comunes debido al diseño y la implementación de la mayoría de los controles de acceso. La gestión de sesiones es la piedra angular de los controles de autenticación y está presente en las aplicaciones.
          1. Los atacantes solo tienen que obtener el acceso a unas pocas cuentas o a una cuenta de administrador para comprometer el sistema.

            Annotations:

            •  Dependiendo del dominio de la aplicación, esto puedo permitir robo de identidad, lavado de dinero y la divulgación de información sensible protegida legalmente.
            1. Permite ataques automatizados como la reutilización de credenciales conocidas
              1. Permite ataques de fuerza bruta y/o ataques automatizados.
                1. Permite contraseñas por defecto, débiles o muy conocidas, como “Password1”, “Contraseña1” o “admin/admin”
                  1. Posee procesos débiles o inefectivos en el proceso de recuperación de credenciales

                    Annotations:

                    • Ejm “respuestas basadas en el conocimiento”, las cuales no se pueden implementar de forma segura.
                    1. Almacena las contraseñas en texto claro o cifradas con métodos de hashing débiles

                      Annotations:

                      • (vea A3:2017-Exposición de Datos Sensibles).
                      1. No posee autenticación multi-factor o fue implementada de forma ineficaz.
                        1. Expone Session IDs en las URL
                          1. Implemente autenticación multi-factor para evitar ataques automatizados, de fuerza bruta o reúso de credenciales robadas.
                            1. No utilice credenciales por defecto en su software, particularmente en el caso de administradores
                              1. Implemente controles contra contraseñas débiles.

                                Annotations:

                                •  Cuando el usuario ingrese una nueva clave, la misma puede verificarse contra la lista del Top 10.000 de peores contraseñas.
                                1. Alinear la política de longitud, complejidad y rotación de contraseñas

                                  Annotations:

                                  • Con las recomendaciones de la Sección 5.1.1 para Secretos Memorizados de la Guía NIST 800-63 B's u otras políticas de contraseñas modernas, basadas en evidencias
                                  1. Mediante la utilización de los mensajes genéricos iguales en todas las salidas

                                    Annotations:

                                    • Asegúrese que el registro, la recuperación de credenciales y el uso de APIs, no permiten ataques de enumeración de usuarios.
                                    1. Limite o incremente el tiempo de respuesta de cada intento fallido de inicio de sesión.

                                      Annotations:

                                      • Registre todos los fallos y avise a los administradores cuando se detecten ataques de fuerza bruta.
                                      1. Utilice un gestor de sesión en el servidor, integrado, seguro y que genere un nuevo ID de sesión aleatorio con alta entropía después del inicio de sesión.

                                        Annotations:

                                        •  El Session-ID no debe incluirse en la URL, debe almacenarse de forma segura y ser invalidado después del cierre de sesión o de un tiempo de inactividad determinado por la criticidad del negocio.
      2. Vulnerabilidad

        Annotations:

        • La confirmación de la identidad y la gestión de sesiones del usuario son fundamentales para protegerse contra ataques relacionados con la autenticación.
        1. Debilidades de seguridad
          1. Impacto
            1. Como se previene

              Annotations:

              • No la invalida correctamente o no la rota satisfactoriamente luego del cierre de sesión o de un periodo de tiempo determinado. 
              1. Vector de ataque
              2. Inyección
                1. Las fallas de inyección, como SQL, NoSQL, OS o LDAP
                  1. Vector de ataque
                    1. Variables de entorno, parámetros, servicios web externos e internos, y todo tipo de usuarios

                      Annotations:

                      • Los defectos de inyección ocurren cuando un atacante puede enviar información dañina a un intérprete
                    2. Debilidades de seguridad
                      1. Los defectos de inyección ocurren cuando un atacante puede enviar información dañina a un intérprete

                        Annotations:

                        • Los errores de inyección son fáciles de descubrir al examinar el código y los escáneres y fuzzers ayudan a encontrarlos.
                      2. Impacto
                        1. Divulgación, pérdida o corrupción de información, pérdida de auditabilidad, o denegación de acceso.

                          Annotations:

                          • El impacto al negocio depende de las necesidades de la aplicación y de los datos
                        2. Vulnerabilidad

                          Annotations:

                          • Las organizaciones pueden incluir herramientas de análisis estático (SAST) y pruebas dinámicas (DAST) para identificar errores de inyecciones recientemente introducidas y antes del despliegue de la aplicación en producción
                          1. Los datos suministrados por el usuario no son revisados
                            1. Se invocan consultas dinámicas o no parametrizadas
                              1. Se utilizan datos dañinos dentro de los parámetros de búsqueda en consultas (ORM)
                                1. Los datos dañinos se usan directamente o se concatenan
                                2. Como se previene
                                  1. Utilizar una API segura

                                    Annotations:

                                    • Incluso cuando se parametrizan, los procedimientos almacenados pueden introducir una inyección SQL si el procedimiento PL/SQL o T-SQL concatena consultas y datos, o se ejecutan parámetros utilizando EXECUTE IMMEDIATE o exec().
                                    1. Validaciones de entradas de datos en el servidor, utilizando "listas blancas".
                                      1. Para una consulta dinámica residual, utilice la sintaxis de caracteres

                                        Annotations:

                                        •  La estructura de SQL como nombres de tabla, nombres de columna, etc. no se pueden escapar y, por lo tanto, los nombres de estructura suministrados por el usuario son peligrosos. Este es un problema común en el software de redacción de informes.
                                        1. Utilice LIMIT y otros controles SQL
                                    2. Exposición de Datos Sensibles
                                      1. Como se previene
                                        1. Vulnerabilidad
                                          1. Impacto
                                            1. Vector de ataque
                                              1. Debilidades de seguridad
                                              2. Entidades Externas XML (XXE)
                                                1. Deserialización Insegura
                                                  1. Uso de Componentes con Vulnerabilidades Conocidas
                                                    1. Cross-Site Scripting (XSS)
                                                      1. Registro y Monitoreo Insuficientes
                                                        1. - Pérdida de Control de Acceso
                                                          1. - Pérdida de Control de Acceso
                                                            Show full summary Hide full summary

                                                            Similar

                                                            Computing
                                                            Ben Leader
                                                            Sources of Law
                                                            cearak
                                                            IMAGS Employment Examination for Applicants
                                                            mike_101290
                                                            Basic Insurance Concepts & Principles - exampdfs 01
                                                            shuiziliu
                                                            Command Words
                                                            Mr Mckinlay
                                                            Chemistry Edexcel C2 topic 1+topic 2 notes
                                                            isabellaoliver
                                                            HRCI Glossary of Terms O-Z
                                                            Sandra Reed
                                                            Evolution
                                                            rebeccachelsea
                                                            The Functionalist perspective on education
                                                            Phoebe Fletcher
                                                            Trigonometry, Equations, Pythagoras theorem
                                                            Caitlin Mortlock
                                                            GCSE - AQA: C1.1 The Fundamental Ideas in Chemistry
                                                            Olly Okeniyi